一道关于chm设计ctf钓鱼的一些思考
版权声明:本文为博主的原创文章,未经博主同意不得转载
题目:flag就是文件指向的地址
文件:
作为一名web狗的出题人,这道ctf有点意思不是在于因为它难,而是相对于一些代码审计以及一些杂项题来说,它只是很好玩。
首先,我们看到题目是一个chm文件。chm文件在钓鱼中比较常见的。比如很久以前的那些动作片种子,下载回来总会有个chm文件的图片简介在文件目录下,那些充满诱惑的FBI warning,以及当你点击xxxavi.chm的时候。
相对于pdf绑马以及之前比较新Word漏洞CVE-2017-0199。它是我所知在win下伪装的比较好的一个。可以参考 ping:CHM渗透:从入门到“入狱”
writeup普及:CHM(Compiled Help Manual)即“已编译的帮助文件”。它是微软新一代的帮助文件格式,利用HTML作源文,把帮助内容以类似数据库的形式编译储存。CHM支持Javas cript、VBs cript、ActiveX、Java Applet、Flash、
常见图形文件(GIF、JPEG、PNG)、音频视频文件(MID、WAV、AVI)等等,并可以通过URL与Internet联系在一起。因为使用方便,形式多样也被采用作为电子书的格式。以及下图
No UAC and No AV 的EXEC
根据这些知识,以及题目所问的,找出文件指向的地址即是后门连接的服务器就是flag。根据后门连接一般采用TCP或者DNS。这里根据自己pc的ip。
筛选tcp或者dns过滤大部分流量出来
ip.addr == 172.16.9.213 and tcp
以及一些标志符:
SYN表示建立连接,
FIN表示关闭连接,
ACK表示响应,
PSH表示有 DATA数据传输,
RST表示连接重置。
可以发现xxx.xxx.xxx.xxx在与本机进行tcp的通信,根据两个tcp的两个标识RST ack。可以发现文件在与服务器进行通信。这里flow下这些tcp流,确定文件指向的后门服务器地址。
这里cobalt strike 的teamserver没有开启,但是可以确定在双方在“串通”进行尝试握手。
另一种方法溯源 chm是可以反编译为html的。 使用windows自带的hh.exe 则可进行反编译。hh -decompile h:\1chmF:\1.chm 【1.chm是内网渗透.chm,这里改了一下名字】
很典型的利用了chm exec 调用js,能做到免杀市面上很多杀毒软件,这里随便用了个测试截图
这里记录一次被黑与反杀的一个过程。
限号第一次发在土司上了。好久都没写博客,只好把笔记带上
分享一个我制作的免杀样本 链接:http://pan.baidu.com/s/1jH6mid4 密码:2qpa
一只在安全道路上慢跑的菜鸡
最新文章
- 谨慎使用Marker Interface
- day 2 Linux基础
- 用于异步的BackgroundWorker
- 【原】Gradle调用shell脚本和python脚本并传参
- Datatable转换Json
- mac安装Mysql官方示例数据库employee
- HDU 5139数据离线处理
- MongoDB 的 MapReduce 大数据统计统计挖掘
- javascript 之 this 用法
- ExtJS 4.2学习(一)——环境搭建
- nopCommerce 3.9 大波浪系列 之 开发支持多店的插件
- ABAP 数值四舍五入函数
- 做ppt经常使用站点
- 关于a标签颜色的探索
- NDK时间测量
- C++类中的静态成员变量和静态成员函数的作用
- 【转】STM32 独立看门狗简介
- 洛谷 P1078 文化之旅 解题报告
- sequence to sequence模型
- Java Web项目部署时 “Exploded Archive”模式部署时无效
热门文章
- 服务管理-Nginx
- ANDROID STUDIO 2.2.3 DOWNLOAD FROM DL.GOOGLE.COM
- html的dtd声明
- Python: lambda, map, reduce, filter
- libcurl以get方式请求服务器端文件
- 虚拟化(四):vsphere高可用功能前提-共享存储搭建(使用微软提供的iscsi software target,也可以使用免费开源的openfiler)
- 获取app-package和app-activity的值
- CMTime 与 CMTimeMakeWithSeconds
- (linux)idr(integer ID management)机制
- Android Weekly Notes Issue #241